- Android plant, die Identitäten aller App-Entwickler zu verifizieren, um unsichere Apps zu blockieren. Google will Entwickler, die Apps außerhalb des Play Store anbieten, ebenfalls einer Identitätsprüfung unterziehen. Ein neues Verifizierungssystem wird ab 2026 global eingeführt, um Malware-Risiken zu minimieren. Dieses Vorhaben könnte als Eingriff in die Entwicklerfreiheit betrachtet werden, da eine umfassende Überprüfung der Entwickler erforderlich ist. Das laufende Kartellverfahren um den Google Play Store könnte weitere Änderungen nach sich ziehen.
Als die Epoche der Touchscreen-Smartphones vor fast zwei Jahrzehnten begann, unterschied sich Android durch seine Offenheit maßgeblich vom iPhone. Schrittweise hat Google jedoch Teile dieser Offenheit zugunsten der Sicherheit geopfert. Die nächste Sicherheitsmaßnahme könnte die bisher größten Zugeständnisse erfordern, um unsichere Apps zu blockieren. Google plant, die Identitäten aller Android-App-Entwickler zu verifizieren, nicht nur jener, die im Play Store veröffentlichen. Apps ohne Verifikation könnten in den kommenden Jahren auf den meisten Android-Geräten nicht mehr funktionieren.
Die Notwendigkeit der Verifikation
Früher hat Google wenig Kontrolle im Play Store (oder im Android Market, wenn man weit genug zurückgeht) ausgeübt, doch das Unternehmen bemüht sich seit Langem, den Ruf der Plattform zu verbessern, die als weniger sicher im Vergleich zum Apple App Store gilt. Vor Jahren konnte man im offiziellen Store tatsächlich Exploits veröffentlichen, um beispielsweise Root-Zugriff auf Telefone zu erlangen. Heute gibt es zahlreiche Überprüfungs- und Erkennungsmechanismen, um die Verbreitung von Malware und verbotenen Inhalten zu minimieren. Google gibt an, dass Apps, die von außerhalb des Play Store heruntergeladen werden, 50-mal wahrscheinlicher Malware enthalten.
Diese statistische Erkenntnis scheint der Antrieb für das neue Verifizierungssystem von Google zu sein. Das Unternehmen beschreibt es als eine Art „Identitätsprüfung am Flughafen“. Seit 2023 müssen alle Entwickler im Google Play ihre Identitäten verifizieren lassen, was zu einem signifikanten Rückgang von Malware und Betrug geführt hat.
Eingriff in die Entwicklerfreiheit?
Böse Akteure nutzten die Anonymität im Google Play, um schädliche Apps zu verteilen. Daher ist es naheliegend, dass die Überprüfung von App-Entwicklern außerhalb von Google Play die Sicherheit ebenfalls erhöhen könnte. Allerdings erfordert dies einen Eingriff von Google in einem Umfang, den viele Android-Nutzer und Entwickler als invasiv empfinden könnten. Es soll eine optimierte Android-Entwicklerkonsole geschaffen werden, die Entwickler nutzen werden, wenn sie planen, Apps außerhalb des Play Store zu verbreiten. Nach der Verifizierung ihrer Identitäten müssen Entwickler den Paketnamen und die Signaturschlüssel ihrer Apps registrieren. Google wird jedoch weder den Inhalt noch die Funktionalität der Apps prüfen.
Das System startet in einer Testphase im Oktober dieses Jahres, für alle Entwickler wird die neue Konsole im März 2026 zugänglich sein. Die Einführung ist in Brasilien, Indonesien, Singapur und Thailand für September 2026 geplant, bevor das System bis 2027 global ausgeweitet werden soll.
Umfassende Änderungen am Horizont
Dieses Vorhaben stellt einen Wendepunkt für Android dar. Das laufende Google Play-Kartellverfahren, angestoßen von Epic Games, könnte Google in den kommenden Monaten dazu zwingen, Änderungen am Play Store vorzunehmen. Ein Gericht hat verfügt, dass Google Drittanbieter-App-Stores verteilen und Play Store-Inhalte auch in anderen Shops bereitstellen muss. Dies könnte zu einer größeren Angebotsvielfalt führen, was Epic und andere Entwickler anstreben. Drittanbieterquellen verfügen allerdings nicht über die tiefgehende Systemintegration des Play Stores, was bedeutet, dass Apps oft ohne die Sicherheitsmechanismen von Google geladen werden müssen.
Ob dies tatsächlich ein umfassendes Sicherheitsproblem darstellt, lässt sich schwer abschätzen. Einerseits ist Googles Besorgnis verständlich, da die größte Bedrohung durch Malware bei Android-Geräten über Drittanbieter-Quellen erfolgt. Andererseits erfordert eine solch umfassende Installation Whitelist nahezu aller Android-Geräte, was als rücksichtsloses Vorgehen gewertet werden kann. Dies zwingt App-Entwickler, Googles Voraussetzungen zu erfüllen, bevor ihre Apps installiert werden können. Während die Anforderungen derzeit minimal erscheinen, gibt es keine Garantie, dass sie auch so minimal bleiben.
